信息安全保障体系规划方案(信息系统终端设备,关键词优化)

本文转载自公众号爱方案（ID：ifangan）。

本文内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。

一、 概述

1.1引言

本文基于对XX公司信息安全风险评估总体规划的分析，提出XX公司信息安全技术工作的总体规划、目标以及基本原则，并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。

本文内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。

1.2背景

1.2.1 XX行业相关要求

国家XX行业总局一直以来十分重视信息安全管理工作，先后下发了涉及保密计算机运行、等级保护定级等多个文件，下发了《XX行业信息安全保障体系建设指南》，指南从技术、管理、运维三个方面对安全保障提出了建议，如下图所示。

图 1_1行业信息安全保障体系框架

1.2.2国家等级保护要求

等级保护工作作为我国信息安全保障工作中的一项基本制度，对提高基础网络和重要信息系统安全防护水平有着重要作用，在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求，如下图所示。

图 1_2等保基本要求框架图

1.2.3三个体系自身业务要求

在国家数字XX行业政策的引导下，近年来信息系统建设日趋完善，业务系统对信息系统的依赖程度逐渐增加，信息系统的重要性也逐渐提高，其安全保障就成为了重点。信息系统的重要组成部分包括MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统等。企业生产已经高度依赖于企业的信息化和各信息系统。

信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。

在整个信息系统运行的过程中，起主导作用的仍然是人，是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。

信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中，发现和纠正各类安全保障措施存在的问题和不足，保证它们稳定可靠运行，有效执行安全策略规定的目标和原则。

当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。

1.3三个体系规划目标

1.3.1 安全技术和安全运维体系规划目标

建立技术体系的目的是通过使用安全产品和技术，支撑和实现安全策略，达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型，行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容：

1、防护：通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施，使信息系统具备比较完善的抵抗攻击破坏的能力。

2、检测：通过采取入侵检测、漏洞扫描、安全审计等技术手段，对信息系统运行状态和操作行为进行监控和记录，对信息系统的脆弱性以及面临的威胁进行评估，及时发现安全隐患和入侵行为并发出告警。

3、响应：通过事件监控和处理工具等技术措施，提高应急处理和事件响应能力，保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。

4、恢复：通过建立信息系统备份和恢复机制，保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。

1.3.2安全管理体系规划目标

本次项目通过风险评估对XX公司自身安全管理现状进行全面了解后，对信息安全管理整体提出以下目标：健全信息安全管理组织，建立信息安全专业服务团队，建立完善的信息安全风险管理流程，完善信息安全制度与标准，建立规范化的流程。

1.4技术及运维体系规划参考模型及标准

1.4.1参考模型

目前安全模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护（Protection）、检测（Detection）、响应（Reaction）的安全模型。上个世纪90年代末，ANS联盟在PDR模型的基础上建立了新的P2DR模型。该模型是可量化、可由数学证明、基于时间的、以PDR为核心的安全模型。这里P2DR2是策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）的缩写。

策略（Policy）

策略是P2DR模型的核心，所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。

防护（Protection）

防护是主动防御的防御部分，系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部，防护手段也因此多种多样。

检测（Detection）

检测是动态响应和加强防护的依据。通过不间断的检测网络和系统，来发现威胁。

响应（Response）

响应是主动防御的实现。根据策略以及检测到的情况动态的调整防护，达到主动防御的目的。

随着技术的进步，人们在P2DR模型以后又提出了APPDRR模型，即在P2DR模型中加入恢复（Recovery）手段。这样一旦系统安全事故发生了，也能恢复系统功能和数据，恢复系统的正常运行。

1.4.2参考标准

主要参考标准：

《信息保障技术框架v3.1》（IATF） 美国国家安全局

《信息系统安全管理指南》（ISO 13335） 国际标准化组织

《信息安全风险评估指南》（国标审议稿）中华人民共和国质监总局

其它参考标准：

AS/NZS 4360: 1999 风险管理标准

ISO/IEC 17799:2005 /BS7799 Part 1

ISO/IEC 27001:2005 /BS7799 Part 2

ISO/IEC 15408（CC）

GB17859-1999

等级保护实施意见（公通字[2004]66号）

《计算机信息系统安全保护等级划分准则》GB 17859

行业参考标准：

《XX行业行业信息安全保障体系建设指南》

1.5管理体系规划参考模型及标准

1.5.1国家信息安全标准、指南

1. GB/T 20274—2006 信息系统安全保障评估框架

2. GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分：信息技术安全概念和模型

3. GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分：管理和规划信息技术安全

4. GB/T 19716—2005 信息技术—信息安全管理实用规则

1.5.2国际信息安全标准

1. ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求

2. ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型

3. ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架

4. ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法

5. ISO/IEC WD 15443—3 信息技术安全保障框架 第三部分 保障方法分析

6. ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估

二、 技术体系建设规划

2.1技术保障体系规划

2.2.1设计原则

技术保障体系的规划遵循一下原则：

先进性原则

采用的技术和形成的规范，在路线上应与当前世界的主流发展趋势相一致，保证依据规范建成的XX公司网络安全系统具有先进性和可持续发展性。

实用性原则

具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长，相互补充。当某一种或某一层保护失效时，其它仍可起到保护作用。

可靠性原则

加强网络安全产品的集中管理，保证关键网络安全设备的冷热备份，避免骨干传输线路的单点连接，保证系统7*24小时不间断可靠运行。

可操作性原则

根据XX公司风险评估结果，制定出各具特色、有较强针对性和可操作性的网络安全技术保障规划，适用于XX公司信息安全的规划、建设、运行、维护和管理。

可扩展性原则

规范应具有良好的可扩展性，能适应安全技术的快速发展和更新，能随着网络安全需求的变化而变化，网络安全保护周期应与整个网络的工作周期相同步，充分保证投资的效益。

2.1.2技术路线

分级保护的思想

遵照《XX行业行业信息安全保障体系建设指南》、《关于信息安全等级保护工作的实施意见》的要求，结合XX公司网络应用实际，XX公司网络的信息安全防护措施需要满足安全等级保护要求，必须按照确定的安全策略，整体实施安全保护。

分层保护的思想

按照XX公司业务承载网络的核心层、接入（汇聚）层、接入局域网三个层次，根据确定的安全策略，规范设置相应的安全防护、检测、响应功能，利用虚拟专用网络（例如MPLS VPN、IPSec VPN、SSL VPN）、公钥基础设施/授权管理基础设施（PKI/PMI）、防火墙、在线入侵抵御、入侵检测、防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品，进行全方位的安全保护。

分域保护的思想

控制大型网络安全的另一种思想是把网络划分成不同的逻辑网络安全域，每一个网络安全域由所定义的安全边界来保护。综合考虑信息性质、使用主体等要素，XX公司网络划分为计算域、支撑域、接入域、基础设施域四种类型安全域。

通过在相连的两个网络之间采用访问控制措施来进行网络的隔离和连接服务。其中，隔离安全服务包括身份认证、访问控制、抗抵赖和强审计等；连接安全服务包括传输过程中的保密、完整和可用等。

动态安全的思想

动态网络安全的思想，一方面是要安全体系具备良好的动态适应性和可扩展性。威胁和风险是在不断变化的，安全体系也应当根据新的风险的引入或风险累积到一定程度后，适时进行策略调整和体系完善；另一方面是在方案的制定和产品的选取中，注重方案和产品的自愈、自适应功能，在遭遇攻击时，具有一定的自动恢复和应急能力。

2.2信息安全保障技术体系规划

2.2.1安全域划分及网络改造

安全域划分及网络改造是系统化安全建设的基础性工作，也是层次化立体化防御以及落实安全管理政策，制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。

目标规划的理论依据

安全域简介

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。

相对以上安全域的定义，广义的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于：物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……

总体架构

如下图所示：安全域的划分如下：

图 2_1安全与总体框架

本次建议的划分方法是立体的，即：各个域之间不是简单的相交或隔离关系，而是在网络和管理上有不同的层次。

网络基础设施域是所有域的基础，包括所有的网络设备和网络通讯支撑设施域。

网络基础设施域分为骨干区、汇集区和接入区。

支撑设施域是其他上层域需要公共使用的部分，主要包括：安全系统、网管系统和其他支撑系统等。

计算域主要是各类的服务器、数据库等，主要分为一般服务区、重要服务区和核心区。

边界接入域是各类接入的设备和终端以及业务系统边界，按照接入类型分为：互联网接入、外联网接入、内联网接入和内网接入。

图 2_1安全域立体结构图

建设规划内容

一、边界接入域

边界接入域的划分

边界接入域的划分，根据XX公司公司的实际情况，相对于ISO 13335定义的接入类型，分别有如下对应关系：

ISO 13335

实际情况

组织单独控制的连接

内部网接入（终端接入，如办公网）；业务边界（如核心服务边界）

公共网络的连接

互联网接入（如Web和邮件服务器的外部接入，办公网的Internet接入等）

不同组织间的连接

外联网接入（如各个部门间的接入等）

组织内的异地连接

内联网接入（如XXX单位接入等其他部门等通过专网接入）

组织内人员从外部接入

远程接入（如移动办公和远程维护）

边界接入域威胁分析

由于边界接入域是XX公司公司信息系统中与外部相连的边界，因此主要威胁有：

黑客攻击（外部入侵）

恶意代码（病毒蠕虫）

越权（非授权接入）

终端违规操作

……

针对边界接入域的主要威胁，相应的防护手段有：

访问控制（如防火墙）用于应对外部攻击

远程接入管理（如VPN）用于应对非授权接入

入侵检测与防御（IDS&IPS）用于应对外部入侵和蠕虫病毒

恶意代码防护（防病毒）用于应对蠕虫病毒

终端管理（注入控制、补丁管理、资产管理等）对终端进行合规管理

二、计算域

计算域的划分

计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合，根据计算环境的行为不同和所受威胁不同，分为以下三个区：

一般服务区